Các vụ lừa đảo qua mạng luôn cố gắng lừa người dùng cung cấp thông tin quan trọng của họ và trong khi nhiều vụ có dấu hiệu rõ ràng cho thấy đó là từ những kẻ lừa đảo, thì một email lừa đảo mới đang lan truyền dường như đến từ chính Google.
Nhà phát triển Nick Johnson (qua X) là mục tiêu của một cuộc tấn công lừa đảo phức tạp trong đó những kẻ lừa đảo gửi các email có vẻ ngoài giống như email thật từ Google, vượt qua được lớp bảo mật của Gmail và trông giống như một email đã ký từ Google. Như Johnson đã lưu ý, nó thậm chí còn xuất hiện như một cảnh báo bảo mật hợp lệ.
Email được gửi từ "[email protected]", địa chỉ thông thường của Google và cũng được ký bởi "accounts.google.com". Tuy nhiên, email thực sự được gửi từ "privateemail.com", với những kẻ tấn công dẫn người dùng đến một trang hỗ trợ trông cũng hợp lệ theo địa chỉ "sites.google.com".
Từ đây, kẻ lừa đảo có thể đánh cắp thông tin đăng nhập và chiếm đoạt tài khoản của người dùng. Vì các trang sử dụng sites.google.com và được thiết kế giống hệt với các trang chính thức của Google, nên kẻ lừa đảo dễ dàng lừa nạn nhân tiềm năng nghĩ rằng đây là các trang web thực sự — vì khi nhìn thấy tên miền "google.com", tên miền đó có thể trông hợp pháp.
Vậy, làm thế nào mà email lừa đảo này có thể được Google chấp thuận và sử dụng email chính thức của Google? Johnson lưu ý hai lỗ hổng, lỗ hổng đầu tiên là Google cho phép người dùng lưu trữ một trang web có tên miền phụ "google.com" thông qua "sites.google.com".
Nhà phát triển tuyên bố rằng Google nên "vô hiệu hóa các tập lệnh và nhúng tùy ý trong Sites" và đây là "một vectơ lừa đảo quá mạnh".
Một trường hợp ngoại lệ khác là email từ người gửi, được ký bởi "accounts.google.com". Để có được chữ ký, những kẻ tấn công dường như đã đăng ký một tên miền và liên kết một tài khoản Google với tên miền đó, sau đó tạo một ứng dụng Google OAuth và nhập "toàn bộ văn bản của tin nhắn lừa đảo".
Sau đó, những kẻ tấn công cấp cho ứng dụng OAuth quyền truy cập vào tài khoản Google, được chính Google ký. Từ đó, tin nhắn lừa đảo được chuyển tiếp đến nạn nhân, đánh lừa bất kỳ ai nghĩ rằng nó thực sựđến từ Google.
Sau khi gửi báo cáo cho Google (mà ban đầu Google tuyên bố là hành vi cố ý), Google đang nỗ lực khắc phục lỗ hổng cho phép kẻ tấn công tạo email lừa đảo đã xác thực, theo Johnson.
Những kẻ tấn công liên tục tìm ra những cách mới để lừa người dùng sập bẫy lừa đảo, và nỗ lực lừa đảo mới nhất này cho thấy email giả mạo có thể khó phát hiện hơn. Tuy nhiên, luôn có những phương pháp để tránh email độc hại.
Trước hết, nếu một công ty liên hệ với bạn về một vấn đề khẩn cấp, tốt nhất là tránh nhấp vào bất kỳ liên kết nào trong email. Kiểm tra trang web của công ty để biết bất kỳ cảnh báo gần đây nào và đăng nhập vào các trang web bằng cách tự nhập URL thay vì nhấp vào bất kỳ liên kết nào.
Một dấu hiệu khác là phát hiện bất kỳ lỗi chính tả nào của tên trong địa chỉ email hoặc liên kết trang web. Trong trường hợp cụ thể này, điều này có thể khó phát hiện hơn vì những kẻ tấn công đã khớp với tên miền của Google. Tuy nhiên, có một điều hơi sai khi thấy trường "gửi bởi" được chuyển tiếp bởi "privateemail.com".
Nếu một email có vẻ đáng ngờ, hãy luôn tìm kiếm sự không nhất quán. Tất nhiên, một số có thể khó tìm, nhưng sử dụng các chương trình phần mềm diệt vi-rút tốt nhất có thể giúp ngăn chặn mọi hoạt động độc hại lọt qua các kẽ hở và tốt nhất là luôn sử dụng xác thực hai yếu tố như một biện pháp bảo vệ bổ sung.
Vì vậy, nếu bạn thấy một email có vẻ là thật từ Google với các đặc điểm tương tự, tốt nhất là tránh nó bằng mọi giá. Nếu bạn đang tự hỏi làm thế nào để duy trì bảo mật PC của mình, hãy xem 12 lỗi máy tính sau đây mà bạn nên ngừng mắc phải.
Nhà phát triển Nick Johnson (qua X) là mục tiêu của một cuộc tấn công lừa đảo phức tạp trong đó những kẻ lừa đảo gửi các email có vẻ ngoài giống như email thật từ Google, vượt qua được lớp bảo mật của Gmail và trông giống như một email đã ký từ Google. Như Johnson đã lưu ý, nó thậm chí còn xuất hiện như một cảnh báo bảo mật hợp lệ.
Email được gửi từ "[email protected]", địa chỉ thông thường của Google và cũng được ký bởi "accounts.google.com". Tuy nhiên, email thực sự được gửi từ "privateemail.com", với những kẻ tấn công dẫn người dùng đến một trang hỗ trợ trông cũng hợp lệ theo địa chỉ "sites.google.com".
Nếu người dùng nhấp vào liên kết trong email lừa đảo, họ sẽ được chuyển hướng đến trang "Hỗ trợ của Google" giả mạo yêu cầu "tải lên các tài liệu bổ sung" hoặc "xem trường hợp". Theo Johnson, nhấp vào bất kỳ liên kết nào cũng dẫn đến trang đăng nhập giả (cũng thông qua sites.google.com), yêu cầu người dùng nhập thông tin đăng nhập tài khoản của họ.
Từ đây, kẻ lừa đảo có thể đánh cắp thông tin đăng nhập và chiếm đoạt tài khoản của người dùng. Vì các trang sử dụng sites.google.com và được thiết kế giống hệt với các trang chính thức của Google, nên kẻ lừa đảo dễ dàng lừa nạn nhân tiềm năng nghĩ rằng đây là các trang web thực sự — vì khi nhìn thấy tên miền "google.com", tên miền đó có thể trông hợp pháp.
Kẻ lừa đảo đã làm giả email Google thực sự như thế nào?
Vậy, làm thế nào mà email lừa đảo này có thể được Google chấp thuận và sử dụng email chính thức của Google? Johnson lưu ý hai lỗ hổng, lỗ hổng đầu tiên là Google cho phép người dùng lưu trữ một trang web có tên miền phụ "google.com" thông qua "sites.google.com".
Nhà phát triển tuyên bố rằng Google nên "vô hiệu hóa các tập lệnh và nhúng tùy ý trong Sites" và đây là "một vectơ lừa đảo quá mạnh".
Một trường hợp ngoại lệ khác là email từ người gửi, được ký bởi "accounts.google.com". Để có được chữ ký, những kẻ tấn công dường như đã đăng ký một tên miền và liên kết một tài khoản Google với tên miền đó, sau đó tạo một ứng dụng Google OAuth và nhập "toàn bộ văn bản của tin nhắn lừa đảo".
Sau đó, những kẻ tấn công cấp cho ứng dụng OAuth quyền truy cập vào tài khoản Google, được chính Google ký. Từ đó, tin nhắn lừa đảo được chuyển tiếp đến nạn nhân, đánh lừa bất kỳ ai nghĩ rằng nó thực sựđến từ Google.
Sau khi gửi báo cáo cho Google (mà ban đầu Google tuyên bố là hành vi cố ý), Google đang nỗ lực khắc phục lỗ hổng cho phép kẻ tấn công tạo email lừa đảo đã xác thực, theo Johnson.
Cách tránh lừa đảo email
Những kẻ tấn công liên tục tìm ra những cách mới để lừa người dùng sập bẫy lừa đảo, và nỗ lực lừa đảo mới nhất này cho thấy email giả mạo có thể khó phát hiện hơn. Tuy nhiên, luôn có những phương pháp để tránh email độc hại.
Trước hết, nếu một công ty liên hệ với bạn về một vấn đề khẩn cấp, tốt nhất là tránh nhấp vào bất kỳ liên kết nào trong email. Kiểm tra trang web của công ty để biết bất kỳ cảnh báo gần đây nào và đăng nhập vào các trang web bằng cách tự nhập URL thay vì nhấp vào bất kỳ liên kết nào.
Một dấu hiệu khác là phát hiện bất kỳ lỗi chính tả nào của tên trong địa chỉ email hoặc liên kết trang web. Trong trường hợp cụ thể này, điều này có thể khó phát hiện hơn vì những kẻ tấn công đã khớp với tên miền của Google. Tuy nhiên, có một điều hơi sai khi thấy trường "gửi bởi" được chuyển tiếp bởi "privateemail.com".
Nếu một email có vẻ đáng ngờ, hãy luôn tìm kiếm sự không nhất quán. Tất nhiên, một số có thể khó tìm, nhưng sử dụng các chương trình phần mềm diệt vi-rút tốt nhất có thể giúp ngăn chặn mọi hoạt động độc hại lọt qua các kẽ hở và tốt nhất là luôn sử dụng xác thực hai yếu tố như một biện pháp bảo vệ bổ sung.
Vì vậy, nếu bạn thấy một email có vẻ là thật từ Google với các đặc điểm tương tự, tốt nhất là tránh nó bằng mọi giá. Nếu bạn đang tự hỏi làm thế nào để duy trì bảo mật PC của mình, hãy xem 12 lỗi máy tính sau đây mà bạn nên ngừng mắc phải.
- 1,6 triệu người bị ảnh hưởng trong vụ vi phạm dữ liệu bảo hiểm lớn — tên đầy đủ, địa chỉ, SSN và nhiều thông tin khác bị lộ
- Cuối cùng, Google sẽ ngăn chặn lỗi Chrome kéo dài 20 năm này làm rò rỉ lịch sử duyệt web của bạn sang các trang web khác — đây là cách thực hiện
- 12 lỗi bảo mật máy tính mà bạn có thể đang mắc phải — và những việc cần làm thay thế
